Minecraft Community Lifeboat gehackt: 7 Millionen Accounts geleakt

Inhaltsverzeichnis

Unbekannte Angreifer sind offensichtlich in das Computer-System der Minecraft Community Lifeboat eingedrungen und haben Konto-Daten von 7 Millionen Mitgliedern abgezogen. Das teilte der Sicherheitsforscher Troy Hunt gegenüber dem Online-Magazin Motherboard mit.

Dem Sicherheitsforscher zufolge finden sich E-Mail-Adressen und mit dem MD5-Algorithmus gehashte Passwörter (unsalted) in dem Datensatz. Die eingesetzte Form der Passwort-Verschleierung lässt sich vergleichsweise einfach knacken. Die Lifeboat-Betreiber versichern, dass sie nun einen stärkeren Hash-Algorithmus verwenden.

Eigene Daten geleakt?

Hunt gibt an, die Daten von einem Kontakt zugespielt bekommen zu haben, der ihn bereits in der Vergangenheit mit zuverlässigen Informationen versorgt hat. Nach einer Überprüfung stuft der Kryptologe die Daten auch dieses Mal als authentisch ein.

Auf seiner Webseite Have I Been Pwned? können Lifeboat-Mitglieder überprüfen, ob ihre Account-Daten kompromittiert wurden.

Lifeboat-Betreiber halten sich zurück

Wie verschiedene Opfer gegenüber Motherboard mitteilten, wurde bis dato keiner von Lifeboat über den Hack informiert. Dem Online-Portal teilten die Verantwortlichen für Lifeboat mit, dass sie sich des Übergriffs bewusst sind.

Nach dem Hack im Januar dieses Jahres haben sie es für die beste Methode gehalten, dass Passwort von Nutzern still und leise zurückzusetzen. Das soll aber bei mehreren Betroffen nicht geschehen sein. Zudem versichern die Betreiber, dass ihnen keine Schadensmeldungen von Mitgliedern vorliegen.

Die Frage von Motherboard warum Lifeboat seine Mitglieder nicht über den Hack informiert hat, blieb unbeantwortet. Mittlerweile hat Lifeboat über Twitter verkündet, dass wenn Mitglieder das Lifeboat-Passwort für verschiedene Services nutzen, sie dieses ändern sollten.

Kurzes Passwort genügt

Lifeboat stellt Server für Mehrspieler-Partien der mobilen Minecraft-Version (Minecraft Pocket Edition) zur Verfügung. Auf der Webseite findet sich eine Anleitung, wie man sich auf Servern anmelden kann. Dort steht geschrieben, dass "eine kurzes, aber schwer zu erratendes Passwort" empfohlen wird; schließlich "handelt es sich nicht um Online-Banking". (des)